域控制器可以作为ntp时间服务器吗？

域内时间服务器的时间同步，是遵循这样一个规则： client->child domain PDCe->parent domain PDCe->root PDCe->Internal Time Source->Internet Time Source
层层向上，自动同步，这就是为什么您即便修改了域内工作站的时间，重新启动又会恢复域内时间。
所以，一个标准的、稳定的时间源对于整个AD架构是非常重要的。需要提到的一点是，时间服务使用 udp 123--- gnaw0725
据我所知，net time命令只能使计算机的时钟与其他计算机或域的时钟同步。
我们建议您将权威时间服务器配置为从硬件源收集时间。当您将权威时间服务器配置为与 Internet 时间源同步时，不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这可以为您的域提供更准确的时间和更高的安全性。
Windows 包含 W32Time，它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。
配置 Windows 时间服务以使用外部时间源的具体步骤，请参考以下文章：
如何在 Windows Server 2003 中配置权威时间服务器
>配置分为两步：第一步为域控服务器配置与阿里云NTP的时间同步；第二步通过组策略实现域内成员同步域控服务器的时间。
一、域控服务器配置NTP
1、 添加时间服务器地址（域名或IP）（下面这个键存放着时间服务器列表）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers
在右边窗口点右键新建“字符串值”，将此“字符串值”命名为6。双击此新建的“字符串值”，输入地址：ntpaliyuncom，保存。将“默认”（即第一个“字符串值”）修改为6即可。前面的几个时间服务器分别为：
timewindowscom
timenistgov
time-nwnistgov
time-anistgov
time-bnistgov
2、 指定时间源
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
修改键NtpServer的值为ntpaliyuncom,0x6
3、 设置校时周期
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
修改键SpecialPollInterval的值为十进制的1800（即为1800秒，半小时）
4、重启服务
重启服务net stop w32time&net start w32time
5、验证配置情况
C:\Users\Administrator>w32tm /query /status
Leap 指示符: 0(无警告)
层次: 3 (次引用 - 与(S)NTP 同步)
精度: -6 (每刻度
根延迟: 00424652s
根分散: 00296346s
引用 ID: 0xCB6B0658 (源  203107688)
上次成功同步时间: 2020/7/20 11:19:13
源: ntpaliyuncom,0x6
轮询间隔: 10 (1024s)
C:\Users\Administrator>w32tm /query /peers
#对等数: 1
对等: ntpaliyuncom,0x6
状态: 运行中
剩余时间: 7594448167s
模式:1 (主动对称)
层次: 2 (次引用 - 与(S)NTP 同步)
对等机轮询间隔: 10 (1024s)
主机轮询间隔: 10 (1024s)
二、配置权威服务器及组策略
1、设置权威服务器
在域控服务器上打开注册表，找到键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
修改键AnnounceFlags的值为十进制的10
2、 启用
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
修改键Enabled的值为十进制的1
3、配置组策略，设置时间同步
1  打开“Active Directory 用户和计算机”，新建组织单位，起名为“Desktop&Server”，将Computers内的计算机全部移动到新建的组织单位下。（此步 *** 作重要，见填坑说明）
2  打开组策略管理：控制面板-管理工具-组策略管理
3  选中新建的“Desktop&Server”，鼠标右键，选择“在这个域中创建GPO并在此处链接……”，输入新建GPO的名称（随意）
4  在下方的“组策略对象”中，选新建的GPO，右键编辑
5  计算机配置—策略—管理模板—系统—Windows时间服务，双击“全局时间配置”，选择“已启用”。
修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）
修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）
修改AnnounceFlags的值为5
点“应用”，“确定”。
6  计算机配置—策略—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。
“配置Windows NTP客户端”，选择“已启用”。
修改NtpSever的值为dcrybbcom,0x6
注：dcrybbcom 是你域控的名字，也就是域控机的主机名
修改Type的值为NTP
修改SpecialPollInterval的值为1800（30分钟）
4、域内成员同步策略
刷新组策略指令：gpupdate /force
重启服务net stop w32time&net start w32time
5、域内成员验证配置
C:\Users\Administrator>w32tm /query /status
Leap 指示符: 0(无警告)
层次: 4 (次引用 - 与(S)NTP 同步)
精度: -6 (每刻度
根延迟: 00738678s
根分散: 01001609s
引用 ID: 0xAC10F665 (源  17216110)
上次成功同步时间: 2020/7/20 12:17:49
源: dcrybbcom,0x6
轮询间隔: 10 (1024s)
C:\Users\Administrator

1 开启域控制器的对时服务：
（1）打开“控制面板”，点击“时间和日期”，在“时间和日期”窗口中，点击“更改时间和日期”，在“时间和日期”对话框中，点击“Internet时间”，勾选“自动同步”，然后点击“更新网络时间服务器”，选择“timewindowscom”，然后点击“确定”，即可完成域控制器的对时服务。
（2）在域控制器上运行“cmd”命令，输入“net time /setsntp:timewindowscom”，完成域控制器的对时服务。
2 拓展：
（1）域控制器的对时服务可以用来保证域控制器的时间和其他域控制器的时间一致，从而保证域控制器之间的协调性。
（2）域控制器的对时服务也可以用来保证域控制器的时间和客户端的时间一致，从而保证客户端在域控制器上的访问安全性。
（3）域控制器的对时服务也可以用来保证域控制器的时间和其他网络设备的时间一致，从而保证网络设备之间的协调性。

Windows域中用户配置文件的漫游和文件夹重定向设置
域漫游配置文件指的是个人的工作环境,如桌面,开始菜单,我的文档,等文件,路径存放在 系统目录\Documents and Settings\以用户登录名起的文件夹．漫游配置文件指 的是把个人的工作环境保存到服务器上以后在这环境下，客户端无论在那一台 机器上登录都是直接从服务器上下载回来个人的配置文件． 我的拓朴如下: 先在 DC 上创建一个文件夹 test， 用于保存客户端放到服务器的个人配置文件．要 分配置好权限，因为客户端要往服务器写入，所以在这里我给的权限是：共享 everyone 完全控制，客户端用的帐号是属于 domain users，给 domain users 的 NTFS 为修改． 可以先让用户 a,用户 b 先在客户端登录一下，修改一下个人的配置文件，如创 建个文件夹放在我的文档里． 主要目的用于验证，等在 DC 上配置漫游配置文件后，看别的客户端登录后，存 不存在这个文件夹． 现在 a 用户在加放到域的 cleint(1721612)这台机器上登录． 先建立一个 OU,用于存放用户，再创建用户 a,用户 b，用于验证． 这时候客户端重启一下，就能让漫游配置文件生效，DC 上在 test 文件夹下也会 生成 a 的文件夹． 在我的文档创建文件夹 testa,文本 testatxt 现在开始在 DC 上设置用户的漫游配置文件，打开 AD 用户与计算机，双击用户 a 的属性，找到配置文件．在配置文件里面输入 DC 上刚才创建的文件夹的网络 路径(注：只能用网络路径)\\1721611\test\a DC 的 IP,test 是共享的文件夹， a(给 a 生成一个文件夹专用于保存 a 用户的配置 文件) b 做法一样． 这时候再到另一台客户端(1721613),去验证在客户端(1721612)创建的文 件．b 用户做法一样 如图所示: 在这里小结一下,因为前面也写过一篇文件夹重定向的文章,文件夹重定向 跟漫游配置文件都是把个人的工作环境放到服务器,在这里说一下它们俩 之间的区别: 1漫游配置文件:保存所有的个人工作环境 文件夹重定向:有选择地保存配置文件,只有 4 个 2漫游配置文件:保存在本地和服务器,(注销时同步到服务器) 文件夹重定向:只保存在服务器(做文件夹重定向时(如做我的文档),在客 户端打开我的文件右键属性,就能看到,是指向服务器的) 这是漫游配置文件保存在服务器的截图， 默认的情况下，漫游的文件夹是打不开的，要取得所有权，这是取得所有 权后打开的文件夹 文件夹重定向只有 4 个文件．因为做文件夹重定向时只有 4 个可做．(如 下图：：) 实现桌面墙纸的漫游方法 漫游做完后，会发现墙纸却没漫游，看看怎么回事 看本地配置文件和漫游后的配置文件文件夹的对比： 本地配置文件会出现一个 Local Settings 文件夹， 在漫游配置文件中找不到，但是漫游配置文件中却多出个 ntuserini 的配 置文件。 我们使用文本打开它，会看到这样一段话， [General] ExclusionList=Local Settings;Temporary Internet Files;History;Temp; 在 Windows 漫游配置文件的默认情况下，Local Setting 文件夹是被排除 的，而在这个文件当中存放的就是我们桌面墙纸的信息。 看看怎样把这文件找回来， 下面就介绍下如何使用注册表恢复桌面墙纸的 漫游： 1、使用需要漫游的用户名登录域当中的任何一台计算机（包括域控）， 运行输入 Regedit 打开注册表； 2、找到注册表中的 [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Cu rrentVer sion\Winlogon]项， 并修改 ExcludeProfileDirs 键值， 将数值数据中的 Local Setting 删除，退出注册表； 3、设置用户要用的桌面背景，退出系统； 4、使用同一用户名在域当中的其他机器上登录，会发现在上一台计算机 上设置的墙纸在这台机器上也出现了。 这时我们在打开域控制器上的漫游配置文件，你会发现 Local Setting 文 件夹又回来了，而 ntuserini 配置文件的内容变成了 ExclusionList=Temporary Internet Files;History;Temp;，到这时候我们对 桌面墙纸的漫游配置就大功告成了！ 使用组策略实现统一桌面 在企业中为了实现企业形象的统一性， 会要求在企业所有计算机上实现标 准的桌面化配置环境。那么要怎么实现呢？详细过程如下： （在做好了上面所说的用户配置文件的漫游后， 不需要再做桌面墙纸的漫 游。） 1、在域控上建立存放背景的文件夹，将其设置为共享文件夹； 2、在开始—运行中 GPeditmsc 命令进入组策略编辑器，并双击用户配置--管理模板--桌面--Active Desktop 中的 Active Desktop 墙纸选项，将 其设置为已启用。 3、在墙纸名称路径框中输入存放桌面背景文件的完整路径。如： \\server\share\文件名。在墙纸样式中任意选择一项，按确定； 4、 将用户配置--管理模板--桌面--Active Desktop 中的启用 Active Desktop 选项设置为已启用； 5、在开始--运行中输入 GPupdate 命令，刷新组策略。 这时候域当中所有用户的桌面背景全部为统一

1 将2台DC的主DNS服务器地址都指向同一台SERVER1，察看解析是否正常。确保域名服务(DNS) 配置正确，正确的目录复制需要有正确的DNS 配置。

a 在SERVER1和SERVER2上，运行Ipconfig /all 检查TCP/IP的配置，请把主DNS服务器指向PDC，辅助DNS服务器指向其它的DC。
b 在CMD模式，运行ipconfig /flushdns 命令清空本地DNS缓存，运行net stop netlogon 和net start netlogon 命令重启netlogon服务，重建DC的相关记录。

c 如果SERVER1上有其他网卡的话，请暂时禁用其他网卡。
HOW TO：在 Windows Server 2003 中安装和配置 DNS 服务器

>